Безопасность учетной записи Steam | Что это, как и почему

Приветствую, %username%! Меня зовут Катерина и я автор этого громоздкого справочного руководства. У меня нет кандидатской по информационным технологиям и я не искусный мастер письма, но лишь посредственный обыватель, который любит мир компьютерных игр и хочет уберечь юных игроков от разных мошенников. Не буду сильно затягивать, приятного чтения!

Немного о форматировании статьи

Несмотря на борьбу с некоторыми минусами встроенных редакторов, данная статья выглядит не совсем так, как мне хотелось бы, и содержит некоторые костыли. Заранее извиняюсь перед теми, кто обратит на это внимание. Я искренне пыталась сделать чтение приятным и удобным! 🙏

Безопасность учетной записи Steam | Что это, как и почему

⠀⠀⠀1.⠀Глоссарий
⠀⠀⠀2.⠀Виды мошенничества в Steam
⠀⠀⠀3.⠀— Фишинговые атаки
⠀⠀⠀4.⠀— Социальная инженерия
⠀⠀⠀5.⠀— Самозванство
⠀⠀⠀6.⠀— Вредоносное ПО
⠀⠀⠀7.⠀— Халява и прочий гемблинг
⠀⠀⠀8.⠀— Торговые аферы
⠀⠀⠀9.⠀Способы защиты
⠀⠀10.⠀— Базовые рекомендации
⠀⠀11.⠀— Подтверждение электронной почты
⠀⠀12.⠀— Двухфакторная аутентификация
⠀⠀13.⠀— Семейный просмотр
⠀⠀14.⠀Настройки приватности в Steam
⠀⠀15.⠀Распространенные заблуждения
⠀⠀16.⠀Действия при попытке взлома
⠀⠀17.⠀Как отправить жалобу в Steam
⠀⠀18.⠀Источники и полезные ссылки
⠀⠀19.⠀Предыстория и заключение


Скаммер
 (англ. scam – афера, мошенничество) – мошенник, который путем обмана, злоупотребления доверием или участия в нечестной схеме получает несанкционированный доступ к личным данным пользователя.

Фишинг (англ. phishing, от password – пароль и fishing – выуживание) – это вид интернет-мошенничества, основанный на незнании пользователями норм сетевой безопасности. Целью является получение доступа к конфиденциальным данным – именам пользователей, паролям и данным кредитных карт. Мошенники действуют под видом благонадежных лиц, ресурсов, а также юридических лиц или официальных представителей. Обычно используют связь через игровые чаты, сообщения в мессенджеры, письма на почту и т.п.

Домен (доменное имя, доменный адрес) – название сайта. Понятия «домен» и «сайт» часто путают, но это не одно и то же. Сайт – это лишь веб-страницы, которые отображаются в интернете, т. е. контент. А домен сайта – это его уникальный адрес. Если у сайта не будет домена, пользователи просто не найдут к нему дорогу и не увидят содержимое.

Punycode – стандартизированный метод преобразования последовательностей Unicode-символов в так называемые ACE-последовательности (англ. ASCII Compatible Encoding – кодировка, совместимая с ASCII), которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Проще говоря, это способ отображать один домен под видом другого.

Глитч – это программная ошибка, позволяющая получить недокументированное (т.е. то, которое не было задумано разработчиком) преимущество или обойти какой-то функционал.

Фикс (англ. fix – чинить) – значит исправлять какую-то имеющуюся проблему, ошибку в приложении, дыры в коде и т.п.

Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам.

Гемблинг (англ. gambling – игра на риск) – это общее обозначение азартных игр, где целью играющего является попытка выигрыша материальных ценностей (или денег, если речь о казино), результат которых полностью или в большей части зависит не от навыка играющих, а от воли случая.

ESEA – сторонний клиент онлайн платформы для игры от киберспортивного соревновательного сообщество основанного E-Sports Entertainment Association. Предназначен для игры в CS:GO со своим матчмейкингом, киберспортивными лигами, античитом, серверами со 128 тикрейтом и подробной статистикой игроков. Предназначена для очень опытных игроков с текущими званиями от Легендарного Беркута до Всемирной Элиты. Аналог для званий пониже и с наличием бесплатного доступа, помимо платной подписки, – FaceIt.

Steam API – служба Valve, которая предоставляет разработчики веб-сайтов возможность использовать данные из Steam новыми и интересными способами. Они позволяют разработчикам запрашивать у Steam информацию, которую они могут разместить на своих сайтах. Простой пример: авторизация на сторонних сайтах через Steam.

Двухфакторная аутентификация – это метод идентификации пользователя в сервисе при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике обычно выглядит так: первый рубеж – это логин и пароль, второй – специальный код, приходящий в специальном приложении.

Депозит в игросфере – процедура пополнения игрового счета в букмекерской конторе, казино и прочих игровых сайтах. Обычно совершается в надежде получения и вывода вознаграждения, которое окупит или превзойдет внесенные до этого средства.

Счет-фактура – это способ, с помощью которого продавец может запросить оплату у покупателя, т.е. выставить счет на оплату.

Простейший способ кибератаки, который, тем не менее, является одним из самых опасных и эффективных методов мошенничества в Steam. Фишинговые мошенники не пытаются воспользоваться техническими уязвимостями в системе устройства. Зачем тратить время на взлом многоуровневой защиты, когда можно обманным путем заставить пользователя добровольно раскрыть свои данные? Достаточно «поймать на крючок» свою жертву, воспользовавшись ее беспечностью, чтобы заполучить данные для входа в учетную запись.

На некоторых сайтах можно авторизоваться, используя данные Steam (при помощи Steam WebAPI / Steam OpenID). Если сайт предоставляет такую функцию, убедитесь, что страницей входа является один из сайтов, принадлежащих Valve (будут указаны ниже).

Чаще всего мошенники рассылают сообщения с взломанного аккаунта всему списку друзей этого аккаунта, пытаясь привлечь наибольшее количество человек. Стандартной схемой является манипуляция на жажде наживы, просьбы помочь в ситуации «у меня бан трейда, надо вывести скин с сайта» и прочие нелепые истории.

Рис.1. Пример сообщения с сылкой на авторизацию через Steam
Рис.1. Пример сообщения с сылкой на авторизацию через Steam

Steam обычно предупреждает о возможных проблемах, когда вы пытаетесь перейти по ссылке, не имеющей отношения к платформе или проверенным ресурсам.

Рис.2 Предупреждение при переходе из Steam на сторонние ресурсы
Рис.2 Предупреждение при переходе из Steam на сторонние ресурсы

Но если все же перешел и авторизовался на подобном сайте – считай, потерял аккаунт. А ведь Steam предупреждал. Поэтому, если вы не уверены, на каком сайте находитесь, то не вводите свои учетные данные. Лучше перестраховаться, чем сожалеть.

В погоне за наживой, злоумышленники готовы предложить горы подарков, бесплатных скинов, прокачку аккаунтов – да что угодно! Пользователь, получивший заманчивое предложение от мошенника, не обращает внимания на адресную строку сайта и забывает о безопасности своего аккаунта. А ведь мошенники регистрируют очень похожие домены для усыпления бдительности жертвы. И перейдя по такой ссылке, пользователь попадает на страницу, практически не отличимую от официальной странички Steam. Для продолжения работы на сайте, его просят ввести логин и пароль.

Рис.3. Пример такого сообщения, обратите внимание на адрес ссылки!
Рис.3. Пример такого сообщения, обратите внимание на адрес ссылки!

Самый простой способ не попасться на эту уловку, внимательно проверять ссылки, по которым вы собираетесь перейти и не посещать подозрительные веб-страницы.

Если вы перешли по какой-то ссылке и попали на главную страницу входа в Steam, внимательно изучите адресную строку вашего браузера – в качестве домена (в первой части URL-адреса ссылки) всегда будет указан один из перечисленных ниже:

⠀•⠀https://steamcommunity.com
⠀•⠀https://steampowered.com
⠀•⠀https://store.steampowered.com
⠀•⠀https://support.steampowered.com

Данными доменами владеем компания Valve, которая разработала и поддерживает платформу Steam, т.е. они являются официальными. Кроме того, все официальные страницы входа в Steam защищены SSL-сертификатом расширенной проверки. Многие современные браузеры отображают это значком замка и текстом «Valve Corp [US]» в поле адресной строки браузера перед адресом сайтов Steam. Как это выглядит в популярных браузерах:

По сути, это схожее с предыдущим видом фишинга, но его труднее заметить, т.к. это потребует бóльших усилий. Итак, злоумышленник отправляет вам ссылку, которая выглядит ТОЧНО ТАК ЖЕ, как оригинал, поэтому часто ее невозможно отличить, даже внимательно взглянув на нее впервые. Тем не менее, перейдя по такой ссылке, вы попадете совершенно на другой сайт, который является фишинговым, а во многих случаях скачивает вредоносное ПО.

Самый лучший способ защититься от подобного – ввести ссылку вручную или скопировать лишь часть ссылки (например, после основного домена). Если же вам лень лишний раз кликать мышкой, то хотя бы проверьте ссылку, отображаемую в предупреждающем сообщении, когда вы покидаете пределы Steam, т.к. в таких случаях будет отображаться другая, действительная ссылка, по которой вы переходите.

Рис.5. Как выглядит некорректная ссылка в предупреждающем окне, приглядитесь
Рис.5. Как выглядит некорректная ссылка в предупреждающем окне, приглядитесь

Для доменных имен существует определенный диапазон символов, которые могут быть использованы – это ASCII символы. Наверняка вы хотя бы раз в жизни сталкивались с ситуацией, когда открываемый документ отображал не буквы, а абракадабру или квадратики, предупреждая, что есть проблемы с кодировкой. Так вот, в подобной схеме используются символы Юникода (стандарт кодирования символов, включающий в себя знаки почти всех письменных языков мира), которые внешне могут выглядеть идентично «нормальным» символам ASCII. Например, о и o – выглядят похоже, но не являются одной и той же буквой (латиница слева, кириллица справа). Однако, многие браузеры преобразуют эти символы Юникода в ASCII, в результате чего получается Punnycode, т.е. этот странно выглядящий URL.

Один из способов, которым злоумышленники пытаются обойти SteamGuard, – это попросить вас загрузить файл SSFN, который находится в папке установки Steam. Эти файлы по сути являются доказательством того, что текущее устройство уже авторизовано и больше не требует кода SteamGuard (функция «Запомнить меня«).

Никогда ни при каких обстоятельствах никуда не загружайте и не делитесь этим файлом! Даже сами Valve никогда не будут просить вас об этом.

Способы принудить к передаче такого важного файла аналогичны всем остальным случаям фишинга – прикинуться специалистом Службы поддержки, сотрудником Valve или принудить загрузить стороннее ПО / расширение / посетить фишинговый сайт.

Рис.6. Мошенническое окно с просьбой загрузить ваш SSFN-файл
Рис.6. Мошенническое окно с просьбой загрузить ваш SSFN-файл

Мастерская в Steam это место, где можно искать, оценивать, загружать и добавлять контент и модификации для различных игр в Steam. Этот контент создается и публикуется самими игроками. Иногда там могут появляться публикации, которые заманивают игроков раздачей бесплатных предметов, какими-то подарками и прочими пустыми обещаниями. В описании к такому контенту содержатся ссылки на фишинговые сайты. Остерегайтесь!

Рис.7. Пример развода в Мастерской
Рис.7. Пример развода в Мастерской

К счастью, последнее время такого контента стало меньше. Но все равно не стоит ослаблять бдительность и слепо тыкать по любым ссылкам в описаниях к работам.

Представьте, что вам пришло предложение об участии в турнире или сборе команды для совместных игр, чтобы продуктивнее повышать свой рейтинг в соревновательных матчах. Как только вы соглашаетесь помочь или решаете присоединиться, злоумышленник зовет поиграть вместе с использованием голосовой программы TeamSpeak (распространенная программа до появления и популяризации Discord’а).

Итак, вы устанавливаете программу самостоятельно или запускаете ее, если она уже была установлена на вашем компьютере, затем мошенник скидывает вам IP-адрес сервера, где они якобы сидят с командой для коммуникации во время игры. При попытки присоединиться к серверу появляется всплывающее сообщение, содержащее просьбу обновиться до последней версии TeamSpeak 3. Не доверяйте и ни в коем случае не нажимайте ни на какие ссылки в этом сообщении. Подобные всплывающие при подключении к серверу окна являются объявлениями самого сервера, а не голосовой программы TeamSpeak. Если бы у вас была не последняя версия клиента, то предложение обновиться появилось бы во время запуска программы, но никак не после, когда вы уже пытаетесь подключиться к серверу.

Рис.8.Пример этой махинации, обратите внимание на название окна – «Host message»
Оно прямо указывает на то, что это сообщение не программное, а с голосового сервера
Рис.8.Пример этой махинации, обратите внимание на название окна – «Host message»
Оно прямо указывает на то, что это сообщение не программное, а с голосового сервера

Что делать, если попался на этот метод? Ни в коем случае не нажимать на какие-либо ссылки в окне. Достаточно просто закрыть оповещение на крестик в углу окна.

Данная программа является мобильным аналогом полноценной версии TeamViewer для удаленного доступа к рабочему столу другого компьютера. И с помощью этой программы мошенники обходят двойную аутентификацию Steam.

Схема простая: сначала вас убеждают установить программу TeamViewer Quick Support или другое, аналогичное по функционалу; затем выманивают код подключения к вам (ID) и просят подтвердить подключение, тем самым получая полный контроль над вашим телефоном. Легенда для убеждения, как обычно, может быть любая. Главное, доверчивость пользователя.

Рис.9. Не сообщайте этот код незнакомым людям, а лучше вообще никому без конкретной необходимости.
Рис.9. Не сообщайте этот код незнакомым людям, а лучше вообще никому без конкретной необходимости.

Итог очевиден. Получив доступ к удаленному управлению вашим мобильным устройством, мошенник получает возможность распоряжаться вашим аккаунтом, как заблагорассудится.

Мошенничество в сфере компьютерной информации (включая игровое пространство, кстати), совершенное группой лиц по предварительному сговору, довольно распространенное явление. Как подобное мошенничество выглядит на практике. Приведу пример из игры CS:GO.

Представьте ситуацию. Промозглый вечер. Вы пришли домой совершенно вымотанный и уставший. Закинув в себя несколько бутербродов и запив их горячим чаем, чтобы хоть немного согреться, решаете расслабиться в любимой игре. Запустить Steam… Библиотека… CS:GO… Играть. По прошествии несколько минут матч найден и вы присоединяетесь к игре. Все хорошо, товарищи по команде вполне адекватные, вы лениво переговариваетесь с ними о ходе процесса. Внезапно один из игроков вдруг сообщает, что скупает игровые предметы по завышенной цене. По одному, в разговор на сервере втянулись некоторые ребята из команды – все заинтересовались столь сладостным предложением. И вот, постепенно люди начинают соглашаться и передавать какие-то завалявшиеся скины. Спустя какое-то время они же бурно реагируют в голосовой чат о том, что на их электронный кошелек поступили денежные средства за переданные предметы. «Неужели правда? Может тоже стоит попробовать? Я все равно планировал продать этот хлам на Торговой площадке.» – думаете вы.

Если такие мысли посетят вас, немедленно остановите себя!
Данная схема является распространенным видом пособничества, т.е. умышленное принятие участия в противоправном деянии, направленном на помощь хищении чужого имущества (в данном случае, внутриигровых предметов и скинов).

Со стороны выглядит, словно случайные игроки передают «богатенькому игроку» свои вещи взамен на денежный размен, – более высокий, чем может предложить Торговая площадка. Возгласы как бы подтверждают, что все безопасно, «мажор» не обманет вас и действительно вышлет деньги. Только вот вся загвоздка в том, что эти «случайные игроки» на самом деле приятели того самого скупщика предметов и просто устроили небольшой спектакль, чтобы заманить доверчивых игроков. Конечно же, если вы поверите в это, то после обмена никаких денежных средств на ваш виртуальный кошелек не поступит, совсем.

Мошенник притворяется, что планирует бросить игру и распространяет информацию, что в связи с этим будет раздавать все свои предметы по этой игре, но есть некое условие. Просьба заключается в том, что он хочет получить какую-то вещь в той игре, куда собирается уходить (чтобы начинать не с нуля / быть самым модным / и т.д.) или просто какую-то редкую, но не сильно дорогую (на нее просто нет ни спроса, ни предложения), так что тот, кто достанет ему этот предмет, получит все содержимое его инвентаря по игре, из которой он уходит. Обычно найти надо предметы, которые либо редки на Торговой площадке, либо отсутствуют вовсе. Тогда мошенник может даже предложить «трейдера», у которого эту вещь можно купить.

Рис.10. Пример такого предложения
Рис.10. Пример такого предложения

Дальше может быть несколько вариантов: либо вам скинут фишинговую ссылку на якобы трейдера, либо трейдером будет друг-подельник, либо за вещь в игре попросят что-то еще. В любом случае это не стоит ожидаемой суммы, и жертва просто потеряет свои деньги.

Мошенник предлагает вам обмен, включающий множество ваших предметов низкой ценности (карточки, ящики и т.п.), а в ответ предлагает что-то средней стоимости, что, по сути, перекрывает суммарную стоимость хлама. Но если внимательно не перепроверить содержимое обмена, то можно потерять что-то действительно стоящее… Ведь этот обмен включает какой-то ваш ценный предмет, спрятанный среди всего прочего хлама.

Рис.11. Подобная ситуация у одного стримера прямо во время трансляции
Рис.11. Подобная ситуация у одного стримера прямо во время трансляции

Иногда люди могут предлагать пройти «верификацию предмета», т.е. подтвердить, что он действительно настоящий, не дюпнутый и т.п… Будь это при обмене, условием для участия на стороннем сайте или прямое сообщение от человека, который внезапно добавился к вам в друзья – таких функций не существует. Любой утверждающий, что это нужно сделать, гарантированно окажется мошенником.

Существует несколько разновидностей такого мошенничества, но все это одна концепция – выдача себя за другой лицо для введения в заблуждение пользователя или группу лиц. Давайте рассмотрим самые распространенные варианты самозванства.

Вас добавляет случайный игрок. Он предлагает обмен через чат Steam (например, ключи к кейсам в CS:GO на какой-то из ваших предметов). Затем говорит, что не уверен, можно ли вам доверять, поэтому спрашивает, есть ли у вас надежный друг. Далее он просит ссылку этого вашего друга, чтобы добавить его. Когда вы указываете на друга, мошенник добавляется к нему в друзья, но другим своим аккаунтом. После этого он спросит вас, можете ли вы отправить свой дорогой предмет через обмен своему другу, чтобы убедится, действительно ли это ваш друг (вы ведь доверяете своему другу, не так ли?).

Когда вы отдадите предмет своему другу, в игру вступает тот самый второй аккаунт мошенника. Негодяй копирует ваши аватар и никнейм профиля и обращается к другу со словами, что вы (ваш аккаунт) какой-то мошенник и нужно срочно прекратить этот процесс, мол «Возвращай мне мой предмет обратно». Друг, вероятно, не заметит подвоха и вернет предмет лже-вам (т.е. второму аккаунту мошенника с никнеймом, похожим на ваш). Вот и все.


В Steam есть замечательная функция – подписать ник, – позволяющая заменить оригинальный никнейм профиля для отображения вам (настоящее имя, псевдоним, кликуха).

  • В приложении Steam в верхнем меню слева выберите пункт «Друзья» и перейдите в «Список друзей»

  • В появившемся окне поднесите курсор к никнейму любого из своих друзей и нажмите на появившуюся справа от никнейма стрелочку «˅»

  • Переведите курсор на пункт «Управление», затем на «Изменить ник»

  • В поле под фразой «Текущий ник:» введите желаемое прозвище / описание друга

  • Теперь имя вашего друга будет либо отображать присвоенный вами никнейм со звездочкой в конце (намек, что это псевдоним), либо справа от текущего никнейма друга в скобках будет отображаться присвоенный вами (в зависимости от того, где вы это просматриваете)


Некоторые мошенники будут пытаться обманывать вас, сообщая, что они являются сотрудниками и что на вас заявили о мошенничестве, использовании читов и т.д., поэтому им нужно «просканировать» что-то на вашем аккаунте.

Рис.12. Пример сообщения от лже-сотрудника администрации
Рис.12. Пример сообщения от лже-сотрудника администрации

Этот метод мошенничества может включать поддельные электронные письма от Valve или службы поддержки Steam. Но ни один из них никогда не будет отправлять вам сообщения.

Запомните: Единственный способ связи сотрудников Valve / модераторов Steam – через официальную Службу поддержки Steam, и никак иначе. Все, кто утверждает, что они связаны с Valve и пытаются торговать с вами или угрожают вам, лгут.

Иногда мошенники могут основательно подойти к этому процессу. Они будут пытаться доказать, что они самые настоящие сотрудники, при помощи скриншотов / gif / видео, которые демонстрируют «панель администратора». Хотя на деле это просто собранный на коленке сайт с несколькими страницами. Это не настоящая панель управления профилем, как и кнопки, вокруг которых мошенник так усердно крутит курсором, как бы намекая, что может в любой момент вас заблокировать. Никакого функционала они не несут, это просто обложка, с помощью которой вас пытаются заставить поверить в происходящее. Подобные доказательства не являются настоящими и не имеют ничего общего с действительностью.

Рис.13. Пример поддельного доказательства. Это ФЕЙК!
Рис.13. Пример поддельного доказательства. Это ФЕЙК!

Некоторые извращаются еще сильнее и присылают в качестве доказательства сертификаты, но такие картинки и вовсе на раз-два создаются кем угодно в любом графическом редакторе.

Поведение:

  • Сотрудник Valve / модератор Steam никогда не будет пытаться что-то доказать вам, так что он не будет отправлять кому-либо изображение, gif, видео или любую другую форму медиафайла в качестве доказательства или информации о чем-либо. Любые отправленные вам изображения, gif и т. д., которые выглядят так, словно ваша учетная запись просматривается кем-то с особыми правами, являются поддельными.

  • Сотрудник Valve / модератор Steam не будет пытаться доказать свою подлинность через демонстрацию экрана (Discord, Skype и т.д.). Если вы столкнулись с подобным поведением, значит мошенник использует программы и расширения для ложного изменения страниц Steam или создания поддельных страниц, которые выглядят так, будто у них есть особые права администратора. Но это никогда не является реальностью!

  • Настоящие сотрудники / модераторы никогда не будут присылать ссылки на свои профили, тем более через сторонние способы связи (форумы, мессенджеры и т.п.). Те, кто делает так – мошенники, которые присылают ссылки на чужие профили.

  • Даже если кто-то пожаловался на вас касательно честности вашей игры, сотрудник Valve никогда не будет связываться с вами через сообщения или сторонние мессенджеры по этому поводу. Если вы невиновны – никакая жалоба не приведет к блокировке.

  • Кто-либо, представляющий сотрудником Valve или Steam, никогда не попросит у вас ваши предметы, деньги или другие денежные товары, а также учетные данные, включая ваше имя для входа и коды аутентификатора. Не делитесь ими ни с кем!

Профиль в Steam:

  • Сотрудник Valve всегда будет иметь значок профиля сотрудника Valve в Steam

  • Кроме того, у сотрудника Valve всегда будет специальный значок справа от его никнейма при взаимодействии с комментариями профиля, обсуждений или где-либо еще

  • Модератор Steam всегда будет иметь значок модератора сообщества Steam

  • Кроме того, недавно на страницах профилей таких пользователей появилась специальная плашка сверху с детальным описанием действий сотрудника

При согласовании сделок, частично или полностью осуществляемых за пределами Steam, принято выбирать посредника. Мошенник предлагает надежного посредника, который может даже иметь хорошую репутацию на стороннем сервисе по «проверке репутации» (обычная база с статистикой, ресурс разработан обычными игроками, не сотрудниками). Как только жертва завершит свою часть транзакции, полагая, что используется доверенного посредника, то и мошенник, и сообщник просто заблокируют обманутого пользователя, сохранив при этом украденные предметы.

Если вы все же решаетесь совершать такого рода сделки, то обязательно следует убедиться в достоверности используемого посредника, самостоятельно подтвердив его личность. Найдите его вручную на соответствующем сайте, проверьте репутацию и удостоверьтесь, что именно он находится у вас в друзьях в Steam. Если у вас нет в списке друзей реального доверенного посредника, вы имеете дело с мошенником.

Живешь себе, никого не трогаешь и вдруг прилетает тебе приглашение в друзья от самого ZywOo или же s1mple. И вроде профили более-менее заполненные, развитые, с кучей друзей, комментариями на стене и все такое. Счастью нет предела, особенно если ты следишь за высшей лигой CS:GO. Но действительно ли эти аккаунты настоящие?

Проверить это легче легкого! Открываете любой поисковик, пробиваете никнейм популярного топ-игрока и находите его официальные ресурсы: верифицированную страницу или многомиллионный YouTube-канал его / его команды, а там и ссылки на все социальные сети можно найти, включая Steam. Переходите по заветной ссылке и понимаете… там другой аккаунт. И вас добавил не кумир, а всего лишь мошенник с фейк-профиля.

Всегда проверяйте подобные профили, которые вдруг стучатся к вам в друзья или что-то пишут и просят. Помните, что подделать профиль Steam не так уж трудно: уровень, предметы, игры – покупаются; друзья, лайки и комментарии – накручиваются. Порой, вплоть до совпадения в 90% и выше с оригинальным профилем.

Способов мошенничества в этой схеме может быть бесчисленное множество: от просьбы передачи оружия / предмета злоумышленнику (например, для съемки ролика), до финансовых вложений / донатов на сторонние ресурсы и перехода по фишинговым ссылкам.

В игровом сообществе есть определенная прослойка игроков, которым по каким-то неведомым причинам кажется, что девушки в играх – это великая редкость. И если ты столкнулся с такой, то срочно хватай, крепко обнимай и дари подарки, чтоб не сбежала к другому. Как говорится, спрос рождает предложение. Представляю вам вид мошенников – притворяющиеся дамами.

Они умело и ловко притворяются воркующими милашками, которые имеют такое огромное сердце, радуются мелочам (пока ты даришь им внутриигровые предметы) и якобы всегда рядом. Можно было бы и дальше расписывать типичные особенности поведения и общения таких кадров, но в этом не особо много смысла. В общем, не верьте так легко и просто в хорошие и складные речи всяких интернет-знакомых, которых вы и в жизни-то никогда не видели.

Некоторые мошенники пытаются имитировать ботов. Они добавляются в друзья и сообщают, что вы должны обменяться с ними предметами (причины, как всегда, могут быть разными). Или же сразу предлагают обмен на получение от вас предметов, добавляя комментарий к обмену, в котором говорится, что это якобы обмен на деньги и некая сумма будет зачислена на ваш кошелек Steam после завершения обмена. Но всегда после подтверждения такого обмена мошенник просто забирает ваш предмет, блокирует вас и исчезает.

Рис.14. Пример подобного сообщения от псевдо-бота
Рис.14. Пример подобного сообщения от псевдо-бота

Этот риск существует практически везде в Интернете, и Steam не исключение. Очень важно обращать внимание на то, по каким ссылкам вы переходите и что загружаете. С подавляющим большинством угроз можно справиться при помощи антивирусного ПО и здравого смысла. Никогда не устанавливайте приложения и расширения для браузера из ненадежных источников. Важно всегда иметь обновленные версии браузера и установленного антивирусного ПО, а также регулярно проверять компьютер на предмет вредоносных программ и вирусов.

Обратите внимание! Steam никогда не потребует загрузки каких-либо файлов на ваш компьютер под видом предоставления доступа к аккаунту. Этот способ используется мошенниками для обхода защиты Steam Guard.

Злоумышленники часто рекламируют бесплатные предметы и внутриигровые читы или программы для облегчения процесса игры / внесения изменений в визуальную составляющую, чтобы обманом заставить пользователей разместить в своей системе вредоносные программы. Они могут принимать различные формы, такие как исполняемые файлы (.exe), динамически подключаемые библиотеки (.dll), пакетные файлы (.bat), файлы сценариев или заставок (.scr). Это делается для того, чтобы украсть информацию о кредитной карте или данные учетной записи Steam. Программы для взлома игр также могут являться источником вредоносных программ. Если вы наткнулись на руководство / обсуждение по любой игре, где предлагается скачать какую-нибудь программу – закрывайте такое руководство!

У вредоносных расширений встречается масса ответвлений с разной направленностью. Простейшие из них ориентированы на опустошение инвентаря жертвы, инициируя несанкционированную передачу предметов злоумышленнику. Но бывает и более сложная схема, позволяющая сделать иллюзию «честной сделки».

У вас кто-то желает купить дорогой предмет. В ходе разговора мошенник старается добиться от пользователя установки расширения. Которое, например, позволяет узнать подробности о предмете, номер ковки, дюпнутая ли вещь и так далее. Для убеждения он уверяет, что раз расширение находится в официальном магазине браузера, то установка такого плагина безопасна и очень полезна. Далее, уже при завершении сделки злоумышленник предлагает перевести деньги за предмет первым. Радостный пользователь соглашается, обновляет страницу своего интернет-кошелька и видит обещанную сумму денег на своем балансе.

Однако, на деле это просто вступившие в силу изменения исходного кода страницы. Визуально пользователь будет видеть поддельный баланс, не соответствующий действительности. Радостный и уже «богатый» пользователь отправляет мошеннику обмен с предметом, даже не подозревая, что просто делает ему подарок.

Рис.15.1. Истинный баланс кошелька
Рис.15.1. Истинный баланс кошелька
Рис.15.2. Отображение баланса при изменении кода страницы
Рис.15.2. Отображение баланса при изменении кода страницы

Если уж установили какие-то стороннее расширение, то при получении средств сначала убедитесь, что это не изменение кода страницы – проверьте историю переводов (обязательно должно быть оповещение, что %имя_фамилия% перевел некоторую сумму), откройте соседнюю вкладку, проверьте баланс счета в другом месте сайта (нередко баланс указывается в нескольких местах сервиса). Но самым лучшим решением будет не устанавливать никаких расширений по просьбам или советам левых людей.

Самая распространенная схема мошенничества. Либо через комментарий, либо в личные сообщения, человек сочинит историю, чтобы вы перешли по ссылке. Вы предполагаете, что это перенаправит вас на скриншот и не задумываясь нажимаете на ссылку мошенника.

Рис.16. Пример подобного обмана. Выглядит, как обычная ссылка.
Рис.16. Пример подобного обмана. Выглядит, как обычная ссылка.

Некоторые могут заметить, что ссылка ведет на сайт, похожий на другие популярные сайты хостинга изображений (например, prntscr.com), но на самом деле он вредоносный. Обычно меняется одна буква, а иногда и их порядок. Даже если URL-адрес говорит sitename.com/image.png, это не означает, что он ведет к файлу изображения.

Некоторые сайты попытаются загрузить файл в фоновом режиме, другие отобразят фальшивое сообщение об ошибке (например, «невозможно загрузить изображение») и предложат вам загрузить изображение, которое, как позже выясняется, на самом деле не картинка. Это была прямая вредоносная программа с именем image.png.scr или image.png.exe.

Формат SCR – это расширение файла экранной заставки (screensaver). В него мошенники часто зашивают троянские вирусы.

Иногда, когда вы играете соревновательные матчи в Counter-Strike: Global Offensive и кооперируетесь с другими участниками команды, с кем-то завязывается хорошее общение и вы начинаете дружить. Этот человек может вести себя приветливо, отдавать какие-то недорогие предметы бесплатно, постоянно или часто играть вместе с вами и все такое.

Через время он спросит вас, играли ли вы когда-нибудь на ESEA платформе или знаете о ней вообще. Скорее всего вы хотя бы слышали о ней, но, поскольку встретились с этим товарищем в соревновательных матчах официального клиента, то не имеете подписки на ESEA (платформа доступна только при ежемесячном платеже).

Мошенник понимает это и постарается использовать это против вас – спросит, не хотите ли вы получить возможность играть на ESEA бесплатно. Между тем, та реализация, которая будет представлена для вас, как возможность играть без подписки или иметь подписку, не заплатив за нее, является лишь файлом, который угонит вашу учетную запись.

Запомните! Невозможно пользоваться сервисом ESEA без подписки. Никаких левых ключей, программ для взлома или бонусных кодов не существует. Только подписка. И доступна она на официальном сайте платформы.

Создать любой продукт без ошибок невозможно. Каждое программное обеспечение создается людьми, а им свойственно допускать недочеты. Кроме этого, конечные пользователи могут использовать продукт совершенно не так, как ожидалось на стадии разработки, и неумышленно использовать неправильную информацию или логику, а программа может повести себя совершенно не так, как предполагалось изначально. И мошенники с радостью готовы использовать эти лазейки для получения собственной выгоды.

К счастью, Steam по мере возможности выпускает «фиксы» обнаруженных ошибок, так что глитчи не живут слишком долго. Другой вопрос, что за время наличия «дыры» в программе могут быть обмануты тысячи пользователей. Какой совет? Используйте функционал корректно и не доверяйте незнакомцам и их странным предложениям по действиям с ПО.

К сожалению, виртуальные облики (столь популярные в таких играх, как, например, Counter-Strike: Global Offensive) распространяются не только, как задумано разработчиками – через внутриигровые кейсы и Торговую площадку. Существует огромный поток из Steam в темное созвездие игровых сайтов, где они используются в качестве валюты. Это своего рода онлайн-казино: здесь простые игры, быстрые действия и новые сайты открываются, как только закрываются другие. Кроме того, не существует возрастных ограничений, поэтому, помимо азартных взрослых, сюда попадают и наивные детишки. Только деньги и предметы вливай, рулетку крути, да выигрывай, делов-то. И несмотря на то, что многие люди прекрасно понимают, как работает функционал данных сайтов, популярность подобных ресурсов не убывает.

Существует множество различных методов, связанных с игорными сайтами, и все они сосредоточены вокруг трех вещей: азарта, фишинга и / или кражи ваших предметов.
Существует множество различных методов, связанных с игорными сайтами, и все они сосредоточены вокруг трех вещей: азарта, фишинга и / или кражи ваших предметов.

Такие сайты в первую очередь играют на вашем чувстве азарта. Вы выбили дорогостоящий предмет, который можно вывести, и он стоит больше, чем вы вложили, поэтому вы решаете продать предмет, чтобы преумножить деньги и тогда вы получаете шиш с маслом. Вы сливаете баланс, но помните, что могли выйти в плюс, поэтому вкладываете деньги снова. И еще раз проигрываете их. И вновь по кругу, до полной или частичной потери денег.

По сути, кейсы – это казино, азартная игра. Официально их так никто не называет, но схема говорит сама за себя. Сайты предлагают вам купить кейсы с деньгами или предметами и открыть их, чтобы получить выигрыш или проиграть. Можно подумать, что тут все зависит от удачи, но не все так просто. Казино и легкие деньги – любимая сфера деятельности мошенников. Поэтому 99% проектов, предлагающих бесплатную лотерею с реальным выигрышем – фейки. Оставшийся 1% – имеют шансы выпадения далеко не в вашу пользу.

Абсолютно все эти сайты с рулетками имеют выстроенный системой алгоритм, который в большинстве случаев работает на то, чтобы игрок сливал все под ноль. Он не даст вам остаться в плюсе. У создателей таких рулеток нет цели, как и желания, уходить в минус.

Забудьте про такое понятие как «рандом». Машина выдает уже заранее прописанные скрипты и ход развития событий заранее предначертан. Пусть красиво выполненный дизайн таких сайтов не вводит вас в заблуждение. Красивая упаковка – это фишка всех аналогичных разводок.

Рис.17. Пример продажи скрипта для рулеток
Рис.17. Пример продажи скрипта для рулеток

Как работает скрипт? Он тоже работает на ваш азарт, специально прокручивая на рулетке очень дорогие скины, а в конце, когда стрелка почти остановилась, то у вас не хватает совсем немного до заветного скина, но в итоге вы получаете что-то не очень приятное.

Недавно некоторые знаменитые сайты добавили новые режимы, самые известные – это контракты (вставляете несколько скинов и получаете шанс получить больше) и апгрейд (вставляете скин и выбираете любой скин, который хотите и у вас «появляется шанс» получить его, если стрелка попадет куда надо, но обычно вы ничего не получаете).

Нужно понимать, что сайт не может работать в убыток, а чтобы владельцы сайта были уверены в том, что получат прибыль, они «программируют» скрипт на проигрыш. Даже если вы в первый раз зашли на сайт и вышли в прибыль, то, скорее всего, это просто прием, чтобы сыграть на чувстве азарта и удержать часть пользователей, которые пойдут на поводу у своего влечения к легкой, как может показаться на первый взгляд, наживе.

Сайты с кейсами, рулетками, скинами и т.д. для своего продвижения активно покупают рекламу у топовых стримеров и блогеров, чтобы те открыли несколько кейсов на их сайте, тем самым привлекая потенциальных пользователей. По дикой «случайности» стример раз за разом окупается. Зрители думают: «Ого, как круто! Он же вот только что в прямом эфире окупился. Попробую и я!» Затем берет кровные денежки, пополняет баланс на подобном сайте и, в большинстве случаев, ничего не получает. Повезет, если уйдет в ноль (т.е. получит ровно столько, сколько и вложил). «Но… почему? Как так?» – недоумевает юный игроман.

Всё дело в том, что у стримеров обычно «подкрутка». Люди, которые создают такие сайты, естественно могут выставлять любые «правила игры», т.е. влиять на шанс выпадения предметов и, соответственно, окупаемость. А им не выгодно, чтобы вы выигрывали.

Лайки и комментарии накручиваются, блогеры покупаются, отзывы подделываются. Администраторы таких сайтов сделают все, чтобы создать завлекающий образ и заработать на наивных игроках. Красивые и многообещающие видеоролики на YouTube и прочих видеосервисах – лишь отображение подкрученного шанса, чтобы создавался вид, будто даже при небольших вложениях можно получить редкие и дорогие предметы. Оплатой такой «рекламы» у популярных медийных личностей является получение дорогих предметов, которые им выпадут и они их выведут. Юные зрители видят, что их кумир получил на сайте что-то дорогое, так что с легкостью и уверенностью идут сливать свои деньги. Реклама сработала.

HonorTheCall: «Современные дети смотрят на популярных блогеров с уважением. Они думают, что если их кумиры могут заработать десятки тысяч долларов за несколько минут, то они тоже смогут это сделать. Но ведь все мы знаем, что это неправда…»

Есть множество вариаций для убеждения пользователя в необходимости внести деньги на какой-то сайт. От «да ты просто по реферальной ссылке зарегистрируйся и что-то там бесплатно получишь или у меня бонусы будут» до «у меня что-то сломалось и нужен твой инвентарь, куда я выгружу свой выигрыш». Все это развод чистейшей воды.

Обычно они просят помочь им, обещая за это вознаграждение (например, поделиться). Только вот есть нюанс – необходимо сделать первый взнос на этом сайте. Поддавшись на подобное, вы и награды за помощь не получите, и деньги потеряете.

Рис.18. Пример подобного развода с депозитом
Рис.18. Пример подобного развода с депозитом

Многие игроки грезят работать в сфере, связанной с игровым миром. Поэтому, когда к ним вдруг добавляется человек с предложением о работе (модератором, smm-менеджером, администратором, программистом и т.д.), то их проще завлечь в подобную авантюру.

Один из способов заинтересовать заключается в том, что псевдо-работодатель позволит вывести любые предметы со своего сайта в ваш инвентарь… нужно лишь сделать первый взнос на сайт. Правда после взноса мошенник пропадает.

Рис.19. Пример переписки с предложением о работе в игровой сфере
Рис.19. Пример переписки с предложением о работе в игровой сфере

Причина, по которой этот обман может хорошо работать на доверчивых людей, заключается в том, что на протяжении всей аферы вам всегда показывают, что вы имеете преимущество. Например, то, как вам предложили работу, и тот факт, что платят (позволяя забрать выпавший предмет) еще до того, как вы приступили к работе. Да и на последнем этапе мошенничества вы поверите доказательству, что разговариваете с настоящим администратором веб-сайта, потому что увидите визуализацию выигрыша. Хотя на деле никакого выигрыша нет.

Во время торговли мошенник выставит желаемый предмет. Незаметно для жертвы он быстро поменяет его на другой менее ценный предмет, который выглядит похожим. После торговли жертва остается с другим предметом, а не тем, на который стоял обмен изначально.

Реализовать подобную аферу не так уж и сложно. Достаточно просто отвлечь пользователя, например, задав какой-то вопрос в чате, чтобы жертва переключила окна. Как раз в этот момент и произойдет подмена. Еще один вариант отвлечения кроется в просьбе добавить еще какой-то предмет или даже несколько, чтобы в журнале чата затерялось действие с подменой.

И хотя Steam обновил функционал обмена предметами, добавив Steam Guard и прочее, все равно не стоит терять бдительность. Наводите курсор на предметы, которые должны получить, не отвлекайтесь и дважды все проверяйте.

Steam не предусматривает такую функцию, как обмен предмета с другим игроком на денежные средства, если это, конечно, не Торговая Площадка. И хоть следующий способ обмана уже не так популярен, как раньше. Все равно это стоит озвучить.

Мошенник кидает вам пустой обмен с подписью, якобы от Steam. Диалоговое окно с текстом или, проще говоря, комментарий (текст которого написал сам мошенник) сообщает вам о том, что деньги вы получите после того, как примете обмен.

Рис.20. Вот так ничего не подозревающий игрок обменивает свой скин на пустоту
Рис.20. Вот так ничего не подозревающий игрок обменивает свой скин на пустоту

Естественно, если вы примете такой обмен, то получите ровным счетом ничего.

Имея дело с любой внешней транзакцией, допускающей возвраты, вы должны быть осторожны и читать все, что написано на таких сервисах во время оплаты. Рассмотрим сервис PayPal. Есть два способа мошенничества с PayPal. Это трюк со счетом-фактурой и уловка с возвратом платежа. В первом случае следует обращать внимание на то, какой тип счета выставлен – личный (для друзей и семьи) или корпоративный (для бизнеса), указан ли список товаров и прочие подробности.

Рис.21. Пример извещения о возврате средств
Рис.21. Пример извещения о возврате средств

Во втором случае, если вы продаете что-то за деньги через PayPal, вы должны получать эти деньги как «услуги / товары». Рекомендуется подробно заполнять счет-фактуру (получатель steamID64, продавец steamID64, сопутствующие товары). После того, как транзакция будет завершена с помощью PayPal, вы должны сделать скриншоты всего чата, профиля Steam и истории сделок. Все это необходимо на случай, если «покупатель» тем или иным образом попытается оспорить покупку или получить возвратный платеж. Кроме того, иногда мошенники, договариваясь о покупке какого-то предмета у вас, отправляют форму мгновенных платежей под видом счета-фактуры.
Всегда проверяйте счета!

Итак, пользователь решает продать один из своих предметов на сайте, которому, как он думает, можно доверять. Площадки по обмену и продаже ежедневно обрабатывают десятки тысяч обменных операций. Для торговли такие сайты используют большую группу обычных аккаунтов Steam (боты), которыми управляет автоматизированная система.

После того, как процесс доходит до заявки на обмен от бота, в дело включается мошенник. Имея доступ к Steam API ключу данного пользователя, у него есть вся информация об этом обмене: проверочный код, имя бота и список вещей, которые будут передаваться. Поэтому он отменяет обмен от настоящего бота сервиса и маскирует свой профиль под профиль бота (никнейм, аватарка), а затем посылает пользователю совершенно такой же обмен, который изначально инициировался ботом. Пользователь, думая, что это бот и он просто тормозит, спокойно принимает обмен, не заметив подмены. Как итог – предметы ушли мошеннику.

Рис.22. Пример перехвата (аватарки специально различаются, помните мультик?).
Снизу отмена обмена с настоящим ботом, сверху обмен с мошенником.
Рис.22. Пример перехвата (аватарки специально различаются, помните мультик?).
Снизу отмена обмена с настоящим ботом, сверху обмен с мошенником.

Как сообщалось выше, в Глоссарии, Steam API это комбинация цифр и букв, которая дает доступ действиям над аккаунтом Steam. Скорее всего, вы авторизовались на фишинговом сайте, благодаря чему мошенник смог получить доступ к вашей учетной записи и создать Steam API. В связке с обычным ботом, который от хоста получает всю информацию о трейде, мошенник не только может скопировать ее, включая имя и аватарку того, кто кинул вам запрос, но и сделать такую же последовательность предметов в обмене. Все управление происходит уже без прямого доступа к учетной записи, поэтому просто менять пароль бесполезно.

Действия в подобных случаях:

  • В первую очередь следует проверить сгенерирован ли на аккаунте API ключ;

  • Если там есть ключ, но вы никогда его не создавали – немедленно удалите его, нажатием кнопки «Revoke My Steam Web API Key»;

  • Далее перейдите в настройки аккаунта и нажмите кнопку «Выйти на всех других устройствах»;

  • Не забудьте сменить пароль от своей учетной записи;

  • Дополнительно можете подключить Семейный просмотр (инструкцию см. ниже)

Некоторые пользователи Steam возмущаются высоким ценам за игры на платформе и начинают искать альтернативу – цифровой ключ на стороннем сайте за чуть меньшую цену.

Способ был бы хорошим, если бы не постоянное мошенничество на этой почве. Проблемы могут появиться на разных стадиях: то деньги возьмут, а ключ не пришлют; то пришлют ключ, а он недействительный; то вроде и ключ активировался, да вот только он от другой игры, которая в Steam стоит куда меньше, чем вы отдали, ожидая получить желаемую игру.

Торговые посредники – это розничные торговцы, которые не работают напрямую с издателями для продажи своих игровых ключей. Вместо этого они будут покупать ключи в регионах, где игры дешевле, или у сторонних продавцов. Покупая у посредника, рекомендуется совершать покупку с помощью PayPal. Этот сервис дает некоторое время на то, чтобы в случае, если что-то пойдет не так, можно было подать заявку на возврат средств. Если посредник не принимает PayPal, это плохой знак – избегайте его.

Пользователь, желая сэкономить три с половиной копейки на покупке игры в Steam, приобретает или обменивается на Цифровой ключ игры за пределами платформы. Сделка благополучно завершена, игра успешно активировалась, в целом все работает и запускается, претензий вроде бы и нет.

Но через некоторое время на аккаунт, где была активирована подарочная копия игры, приходит уведомление, в котором говорится о том, что цифровой ключ был отозван.

Рис.23. Вот так выглядит оповещение об отмене активации Цифрового ключа игры
Рис.23. Вот так выглядит оповещение об отмене активации Цифрового ключа игры

После этого игру из библиотеки запустить больше нельзя. И деньги за ключ тоже не вернут.

Steam не восстанавливает предметы или денежные средства, которые были переданы за отозванный цифровой ключ, и в целом не поддерживает продажу подарочных копий игр. Подробнее в официальной статье.

В этом методе мошенник будет пытаться обменять ваши дорогие предметы на подарки. Причем иногда даже первым высылает подарок. Обычно человек просит вас добавить его «альтернативный аккаунт», с которого и будет отправлен подарок. Уже это должно вызывать тревогу. Сначала все может выглядеть безобидно, вы даже честно получите подарок.

Однако эти игры были приобретены с использованием украденных кредитных карт или взломанных учетных записей. В таком случае, владелец произведет возвратный платеж или отмену платежа, когда заметит транзакцию. И учетная запись, где был активирован подобный подарок, подвергается высокому риску блокировки.

Поскольку вы участвовали в этом мошенничестве, все игры будут аннулированы, а ваша учетная запись может быть даже приостановлена. Да, выкуп мошеннических подарков вполне прямо указан, как возможная причина для приостановки действия учетной записи.

Покупка, продажа и передача аккаунта Steam третьим лицам категорически запрещена официальным документом Steam – «Соглашение подписчика Steam». Пункт 1 подпункт С гласит: «Вы не имеете права раскрывать, передавать или иным образом предоставлять третьим лицам право пользования вашим паролем или Аккаунтом.«

В случае, если аккаунт был приобретен за деньги или передан от кого-то, а первоначальным владельцем аккаунта являетесь не вы, то вероятность того, что купленный аккаунт был украден и его владелец попытается восстановить контроль над своей учетной записью крайне велика. В таком случае покупатель потеряет и аккаунт, и потраченные на его приобретение средства.

Многие магазины преуспели в этом бизнесе. С большим спросом появилось и большое количество критериев / фильтров желаемого аккаунта, вплоть до максимального времени простоя аккаунта (время, которое аккаунт не был активен, т.е. снижение вероятности отката).

Рис.24. Оповещение о блокировки аккаунта владельцем
Рис.24. Оповещение о блокировки аккаунта владельцем
Рис.25. Скриншот доказательства владения
Рис.25. Скриншот доказательства владения

Существует и вторая махинация. У мошенника имеются доказательства, что владельцем аккаунта является он (скриншот первого регистрационного письма, чеки, скриншоты безопасности Steam Guard и т.п.). Такой аккаунт отвязывается от изначальной почты и продается жертве с другой почтой. Пользователь, купивший аккаунт, заходит, меняет пароль, привязывает телефон, начинает играть в содержимое Библиотеки и т.д. Через время мошенник обращается в Службу поддержки, сообщая, что аккаунт был украден и предоставляет все доказательства своего полноправного владения данной учетной записью. Как итог, жертва вновь теряет и аккаунт и потраченные средства, а мошенник остается и при деньгах и при аккаунте.

У похитителей аккаунтов есть несколько распространенных методов атаки, большинство из которых основано на дезинформации и обмане. Но ваш аккаунт не украдут, если вы будете следовать рекомендациям и воздержитесь от совместного пользования аккаунтом.

  1. Сотрудник Valve / модератор Steam НИКОГДА не свяжется с вами через Discord, Steam или любое другое место, чтобы обсудить что-либо, имеющее отношение к вашей учетной записи или предметам аккаунта.

  2. НИКОГДА и никому не сообщайте свой пароль, имя аккаунта для авторизации, код аутентификатора или какие-либо другие личные данные (даже если их просит якобы сотрудник Valve / модератор Steam или друг).

  3. НИКОГДА не переходите по незнакомым ссылкам где-либо (даже если их прислал человек из списка друзей или какой-либо знакомый).

Надёжный пароль является первым необходимым шагом на пути обеспечения безопасности аккаунта. Ваш пароль должен отвечать всем минимальным требованиям, перечисленным ниже:

  • Используйте не менее 6-8 символов;

  • В составе должна присутствовать хотя бы одна цифра;

  • Используйте комбинации прописных и строчных букв (А – прописная, а – строчная);

  • Не рекомендуется использовать в качестве пароля дату рождения, имя питомца или серию символов, идущих по порядку на клавиатуре (например, «qwerty» и «12345» – это небезопасные пароли).

Крайне важно, чтобы имя аккаунта и пароль в Steam были уникальными и не использовались, как имя и пароль от любых других сервисов (социальных сетей, форумов и т.д.). Кроме того, убедитесь, что для аккаунта Steam и контактного адреса электронной почты используются разные пароли.

Старайтесь не заходить в свой аккаунт Steam из интернет-кафе или с общих компьютеров. Однако, если воспользоваться услугами интернет-кафе или общим компьютером все же необходимо, убедитесь, что они проверены на наличие вирусов, троянских программ и клавиатурных шпионов. Вдобавок при авторизации не нужно ставить галочку напротив пункта «❏ Запомнить на этом устройстве», а также сохранять пароль в используемом браузере.

❗ И не забывайте самостоятельно выходить из своего аккаунта при завершении сессии.

Регулярно проверяйте свой компьютер на наличие вирусов, шпионских программ и другого вредоносного кода с помощью специальных программ для сканирования с обновленными антивирусными базами для быстрого реагирования в случае заражения компьютера. Желательно использовать в совокупности с утилитой проверки на наличие вирусов.

Я понимаю, что многие не могут себе позволить платные версии таких программ или просто не желают тратить на это свои средства, поэтому ниже я предоставлю популярные программы, у которых имеется бесплатная версия распространения для личного использования.

В Steam есть прекрасная страница, через которую можно детально просмотреть практически все действия, которые выполнялись на учетной записи: история покупок, на каких сторонних сайтах выполнена авторизация через Steam, история входов в учетную запись, история комментариев, участие в событиях магазина и много прочих деталей.

Я предлагаю обратить особое внимание на следующие из них:

Подтверждение адреса электронной почты повышает безопасность вашей учетной записи Steam. После того, как вы подтвердили адрес электронной почты, помимо пароля от аккаунта Steam станет необходимым еще и доступ к электронной почте, чтобы вносить какие-либо изменения в учетные данные Steam, будь то изменение пароля или контактного адреса электронной почты. Это позволяет дополнительно защитить ваш аккаунт Steam от кражи.

  1. Откройте приложение Steam и перейдите в Настройки

  2. В разделе «Аккаунт» найдите кнопку «Подтвердить адрес эл. почты…» и нажмите на нее

  3. Следуйте появившейся инструкции на экране

  4. Затем по электронном почте вы получите письмо от Службы поддержки Steam

  5. Щелкните уникальную ссылку в этом сообщении, чтобы завершить проверку своего адреса электронной почты. Открывшаяся веб-страница подтвердит ваш успех.

Если сообщение о подтверждении не пришло, проверьте и убедитесь, что:

  • Вы указали действительный адрес электронной почты;

  • Вы проверяете почтовый ящик того самого адреса электронной почты;

  • Сообщение не было отфильтровировано системой, как спам.

При сохранении проблемы, попробуйте добавить адреса «support@steampowered.com» и «noreply@steampowered.com» в списки контактов / доверенных отправителей вашего почтового клиента. Затем попытайтесь вновь пройти процедуру для подтверждения своего адреса электронной почты.

Небольшой совет: Делайте копии писем от Steam. Можете пересылать их на свою вторую электронную почту или делать скриншоты. Это окажется полезным в случае, если ваша почта окажется взломанной или утерянной.

Даже самый надежный пароль не поможет, если его украдут – от этого, к сожалению, никто не застрахован. Поэтому обязательно включите двухфакторную аутентификацию (2FA), которая у Valve называется Steam Guard. С подключенным Steam Guard, когда вы или кто-либо другой пытается войти в учетную запись Steam с неизвестного устройства, то система запрашивает не только пароль, но и дополнительный код, который создается в специальном мобильном приложении Steam.

Эти коды обновляются автоматически каждые 30 секунд, поэтому угадать их практически невозможно. Более того, генерируемые коды уникальны работают только один раз, так что их повторное использование кем-либо еще будет невозможно.

По умолчанию, если в учетной записи Steam подтвержден контактный адрес электронной почты, Steam отправляет эти коды по электронной почте. Чтобы получать код в мобильном приложении, необходимо выполнить следующие действия:

  1. Скачать и установить приложение Steam ( 🤖 GooglePlay | 🍏 AppStore )

  2. Авторизоваться в приложении на свою учетную запись

  3. В верхнем левом углу нажмите на раскрывающееся меню

  4. Самым первым пунктом меню будет «Steam Guard», на него и нажимайте

  5. Далее нажмите на кнопку «Добавить аутентификатор» и следуйте инструкции:

    • Шаг 1. Введите свой контактный номер мобильного телефона и нажмите «Добавить телефон»;

    • Шаг 2. Введите специальный код, который пришел в сообщении на указанный вами номер телефона, и нажмите «Подтвердить»;

    • Шаг 3. Запишите в надежном месте отображаемый код восстановления, который может потребоваться в случае утраты доступа к привязанному номеру или телефону;

    • Через 30 секунд кнопка «Готово» станет активна и вы сможете на нее нажать, чтобы завершить процедуру. Эта мера необходима, чтобы пользователи точно записывали столь важный код восстановления.

  6. После этого вы увидите на экране приложения уникальный код и истекающий под ним таймер (когда таймер истечет – код сменится на новый). Именно эти коды и будут требоваться теперь для подтверждения входа в учетную запись.

📌 Обязательно сгенерируйте и сохраните «Коды восстановления» в надежном месте. С их помощью вы сможете восстановить доступ к своему Steam Guard, если он будет утерян.

Помните: если у вас включен Steam Guard, это еще не значит, что вы полностью защищены от попыток фишинга. Всегда будьте внимательны на сайтах, которые вы посещаете.

Если у вас появились вопросы о работе системы Steam Guard или вы столкнулись с какими-либо сложностями при ее использовании – многие ответы можно найти здесь.

Steam Desktop Authenticator – это приложение, используемое для получения кодов аутентификации на ПК, а не на мобильном устройстве. Такой способ может показаться довольно удобным для пользователей, которые не могут использовать мобильное приложение из-за каких-либо ограничений или из-за отсутствия мобильного устройства.

Но существует проблема в том, что некоторые SDA являются исключительно вредоносным программным обеспечением или просто намерены получить доступ к вашей учетной записи. Однако, этого можно избежать, используя оригинальную версию из GitHub от Jessecar96.

Тем не менее, некоторые репозитории разветвляются, а затем используются для создания поддельных SDA. Так что я бы настоятельно не рекомендовала пользоваться подобным приложением для ПК вовсе. Это просто не стоит риска.

Если по какой-то причине возможность использовать Steam Guard отсутствует или вы хотите дополнительно обезопасить свой аккаунт, то данная настройка будет хорошим решением.

Что же такое «Семейный просмотр»? Говоря простыми словами, это функция «родительского контроля». По крайней мере, изначальная задумка состоит именно в этом. Суть ее использования состоит в том, чтобы пин-кодом защищать учетную запись от определенных действий на платформе Steam (например, при попытке перейти в Магазин для совершения покупок, система потребует пин-код – без него выполнение действия будет невозможно).

  1. Откройте приложение Steam и перейдите в Настройки

  2. Перейдите в раздел «Семья» и нажмите на «Управление семейным просмотром»

  3. Пройдите все этапы настройки, чтобы выбрать контент и возможности, доступ к которым вы хотели бы разрешить в защищенном ПИН-кодом режиме

    • Выберите пункт «Только игры, которые я выберу«, остальные оставьте без галочек
      А что произойдет, если поставить галочку напротив пункта …?

      • Магазин Steam – если у вас есть синхронизация PayPal / кредитной карты со Steam, то у мошенника будет беспрепятственный доступ к покупкам в магазине.

      • Контент сообщества – мошенник сможет добавлять любые изображения (например, сексуального характера, за которые учетную запись могут заблокировать), а также пользоваться Мастерской и Торговой площадкой.

      • Друзья, чат и группы – мошенник сможет добавлять / удалять / блокировать друзей из вашего списка, публиковать сообщения в ваших группах и профиле друзей, отправлять сообщения.

      • Мой профиль в сети, скриншоты и достижения – у мошенник будет доступ ко всей основной информации вашего профиля.

    • В списке игр поставьте галочки напротив каждой из указанных (если список большой, нажмите кнопку «Выбрать все» для ускорения процесса).

  4. Введите ваш адрес желаемой электронной почты, это необходимо для восстановления пин-кода в случае его потери.
    Примечание: Следует использовать другой адрес электронной почты, нежели привязан к вашей учетной записи Steam. На случай, если учетная запись будет взломана вместе с контактной электронной почтой. Тогда мошенник не сможет узнать пин-код через восстановление доступа по почте (т.к. будет указан другой адрес, который он не взломал).

  5. Введите и подтвердите свой новый ПИН-код
    Примечание: Не используйте пин-код типа 0000, 1111, qwer и т.д., потому что он крайне прост в использовании и все, что вы сделали, окажется зря.

Определить, в каком состоянии ваша учетная запись на данный момент, будет очень просто.

Рис.26.1. Семейный просмотр включен
Рис.26.1. Семейный просмотр включен
Рис.26.2. Семейный просмотр выключен
Рис.26.2. Семейный просмотр выключен

При включенном режиме «Семейного просмотра» (если вы оставили доступ только к играм), то ничего кроме вкладки Библиотека в приложении Steam доступно не будет. Попытавшись перейти в профиль или куда-то еще, система запросит пин-код для отключения ограничений.

Выглядит такой запрос следующим образом:

Или отдельным окошком:

При авторизации в учетную запись на других ПК, режим «Семейный просмотр» автоматически будет в состоянии «включен«, даже если на вашем основном компьютере он находится в состоянии «отключен«. Таким образом действия мошенников будут ограничены, если им все же удастся получить доступ и авторизоваться в вашей учетной записи.

Примечание автора: Рекомендую не отключать защиту Steam Guard, и использовать режим Семейного просмотра, как дополнительный способ защиты аккаунта, а не основной. Даже несмотря на то, что некоторые сторонние источники могут советовать “отключить защиту Steam Guard”. Делают такое, обычно, когда собираются предоставлять доступ к своей учетной записи “бустерам” для какой-то прокачки в конкретной игре (например, рейтинга в Dota 2). Но это будет исключительно на ваш страх и риск. В остальных случаях, при наличии Steam Guard, он должен быть активирован.

Чрезмерно публичный профиль может вызвать проблемы. Например, если мошенники увидят, что в вашей коллекции есть дорогие игры или предметы, они с бóльшей вероятностью проявят нежелательный интерес к вашей учетной записи Steam. Даже если вы играете исключительно с друзьями, существуют специальные автоматизированные программы, сканирующие профили, их друзей, группы и пр. (хотя изначально такие программы задумывались, как упрощение поиска желаемых предметов для обмена, но и мошенники тоже активно ими пользуются).

Кроме того, если вы позволите кому угодно оставлять комментарии на своей странице, не удивляйтесь, если в одно прекрасное утро проснетесь и обнаружите десятки сообщений со спамом. Поэтому я рекомендую потратить некоторое время на настройку ограничений по доступу третьих лиц к информации в вашем профиле Steam.

В приложении Steam на компьютер:

  • Щелкните на свое имя в правом верхнем углу экрана и выберите «Мой профиль»

  • На странице своего профиля нажмите «Редактировать профиль»

  • В правом меню выберите раздел «Приватность»

В мобильном приложении Steam:

  • В верхнем левом углу нажмите на квадрат, чтобы раскрыть меню

  • В самом низу колонки выберите «Настройки», чтобы развернуть строку

  • Откройте вкладку «Настройки приложения»

  • Нажмите на пункт «Настройки Steam» и там перейдите в «Настройки приватности»

Если вы вообще не хотите, чтобы посторонние видели содержимое вашего профиля, можно сделать его полностью приватным. Для этого выполните следующее:

  • Откройте настройки конфиденциальности

  • Коснитесь ссылки рядом с пунктом «Мой профиль»

  • Выберите вариант «Только для друзей» или «Скрытый»

Готово! Вы скрыли описание (т.е. раздел «О себе»), список друзей, значки, уровень Steam, витрины, комментарии и группы. Теперь посторонним видны только ваше имя профиля и аватар. Эти элементы скрыть нельзя, но вы можете использовать любые никнейм и картинку для аватара.

Если вы хотите скрыть только некоторую информацию (например, списки игр или инвентарь) от посторонних глаз, используйте настройку отдельных элементов Steam.

  • Откройте настройки конфиденциальности

  • Коснитесь ссылки рядом с одним из желаемых пунктов – «Доступ к игровой информации», «Список друзей» или «Инвентарь»

  • Выберите вариант «Только для друзей» или «Скрытый»

Видимость ваших уже загруженных скриншотов и иллюстраций тоже можно настроить. Скрыть медиафайлы можно следующим образом:

  • Перейдите в необходимый раздел – «Скриншоты», Иллюстрации» или «Видео»

  • В верхней правой части экрана (прямо над материалами) найдите кнопку «Управление»

  • После нажатия на эту кнопку чуть пониже у вас развернется панель с пунктами

  • Нажмите пункт «Выбрать все», если хотите скрыть все свои материалы в выбранном разделе, или же отмечайте конкретные файлы, которые хотите скрыть

  • После того, как вы выбрали материалы, которые хотите скрыть, нажмите пункт «Показывать только для друзей» или «Показывать только для себя», чтобы выставить необходимые настройки приватности для выбранных элементов

Чтобы автоматически скрывать новые загружаемые скриншоты и иллюстрации, сразу в окне загрузки выбирайте параметр «Личный» или «Только для друзей».

Заметка: Имейте в виду, если вы скрываете свои скриншоты, то они также перестанут отображаться в «Витрине скриншотов» (витрина исчезнет со страницы профиля, а в настройках не будет возможности выбрать свои загруженные скриншоты). Даже если видимость материалов выставлена, как «Показывать только друзьям».

Чтобы посторонние не могли оставлять комментарии или сомнительные ссылки в вашем профиле, вы можете ограничить доступ к комментариям на своей стене профиля.

  • Откройте настройки конфиденциальности (как показано выше)

  • Коснитесь ссылки рядом с пунктом «Раздел комментариев»

  • Выберите вариант «Только для друзей» или «Скрытый»

Продажа учетных записей Steam категорически запрещена и нарушает регламент официального документа «Соглашение подписчика Steam». Несмотря на это существует целый черный рынок, где покупаются и продаются аккаунты Steam. Вот почему так много фишинга – ценно не только то, что находится в учетной записи, но и сама учетная запись. Поэтому следует обязательно придерживаться перечисленных выше правил безопасности.

Совершенно ЛЮБОЙ пользователь, кто использует Steam, может стать целью мошенника. Фишинговые ссылки размещаются не только в Steam. Даже если у вас вообще нет ничего в вашей учетной записи (ни предметов, ни игр, ни значков), вы все еще можете стать мишенью только из-за «возраста» вашей учетной записи.

Двусторонняя аутентификация – это замечательно! Но не 2FA единым сохранен аккаунт.

Не забывайте, что многие веб-сайты могут быть взломаны и у них украдут информацию, включая пароли. Кроме того, уже сейчас есть несколько способов выманить у пользователя код доступа или заполучить его обманом через сторонние возможности. Именно поэтому так важно перестраховываться, быть внимательным и не доверять незнакомцам.

К сожалению, это не так. Даже среди моих знакомых, друзей или бывших сокурсников (выпускников факультетов по прикладной информатике и информационной безопасности, кстати)) находятся те, кого могут обвести вокруг пальца, если те проявят невнимательность. Небезызвестны случаи, когда люди подвергались фишинговым атакам из поддельных ресурсов якобы официальных сайтов или от лже-сотрудников. И все это были не «наивные детишки». Все, что сыграло ключевую роль – это однажды потерять бдительность. Ведь все мы люди, устаем, отвлекаемся и т.д. Так что жертвой вполне может стать любой человек.

Забыли выйти из системы на чужом компьютере или подозреваете, что вас взломали? В таком случае можете принудительно выйти из системы на всех устройствах, кроме того, которое вы используете в данный момент. Для этого выполните следующие действия:

  1. Откройте приложение Steam на вашем ПК и перейдите в «Настройки»

  2. В разделе «Аккаунт» нажмите на кнопку «Управление настройками Steam Guard»

  3. В открывшемся окне приложения нажмите «Выйти на всех других устройствах»

  4. Далее проверьте, сгенерирован ли на вашем аккаунте API ключ

  5. Если какой-то ключ есть, но вы никогда его не создавали – немедленно удалите его нажатием кнопки «Revoke My Steam Web API Key»

Теперь единственный человек, авторизованный в вашей учетной записи, – это вы. Самое время, чтобы сменить пароль аккаунта (и электронной почты, если ее также взломали) на вариант понадежнее. И затем обязательно включить Steam Guard, если он деактивирован.

Обязательно просканируйте свой компьютер на наличие вредоносных программ, расширений, вирусов и прочего дерьма, благодаря которому мошенники смогли получить доступ к вашим данным и учетной записи Steam. Рекомендуется взять это в привычку и проводить проверку системы не только в критических ситуациях, но также и в профилактических мерах.

  1. Перейдите на страницу Службы поддержки Steam и нажмите на кнопку «Помогите, я не могу войти в свой аккаунт»

  2. Далее выберите пункт «Мой аккаунт украли, помогите восстановить его»

  3. Выполните указанные инструкции, а затем нажмите на «Сбросить пароль»

  4. Введите адрес электронной почты и выберите способ восстановления

    • Если доступ к контактной почте имеется, выбираем пункт «Отправить код подтверждения аккаунта на [адрес контактной электронной почты Steam]»

    • Если почта также была взломана или утеряна по иным причинам, выбираем пункт «У меня больше нет доступа к этому адресу электронной почты»

  5. Выбрав второй вариант необходимо будет заполнить форму восстановления и приложить к ней доказательства того, что именно вы являетесь владельцем аккаунта

  6. Обращение создано, ждем ответ

Заметка: Какие именно доказательства могут подтвердить факт, что владельцем аккаунта являетесь вы, можно узнать из официальной статьи от Steam «Восстановление украденного или взломанного аккаунта Steam».

Взлом аккаунта и другие злонамеренные действия являются серьезным преступлением в Steam. В связи с этим Valve предоставила множество способов защитить учетные записи своих пользователей. Кроме того, на платформе присутствует возможность подать жалобу на пользователя, если вы стали его жертвой или знаете о его вредоносной деятельности. Такие жалобы обрабатываются сотрудниками Службы поддержки Steam.

  1. Перейдите в профиль пользователя, который пытался вас обмануть или обманул

  2. Нажмите кнопку раскрывающегося списка «… ▼», расположенную в правом верхнем углу страницы и выберите пункт «🏴 Пожаловаться»

  3. Выберите категорию, которая соответствует нарушению

  4. Уточните детали нарушения по выбранной категории

  5. Кратко опишите, как вы взаимодействовали с данным злоумышленником

  6. Затем нажмите «Пожаловаться»

  7. Дополнительно следует заблокировать этого пользователя

Вот и все. Жалоба отправлена. Если в отношении кого-то, на кого вы пожаловались, было принято наказание, то вы должны будете получить об этом уведомление по электронной почте.

Описание

Оригинал / на англ.

Перевод / на рус.

Служба поддержки Steam, проблемы с аккаунтом

Ссылка

Ссылка

Официальные рекомендации по защите аккаунта

Ссылка

Ссылка

Расширенная статья от официального модератора Steam на Reddit

Ссылка

Ссылка

Фишинг – как это делается и как защитить себя

Ссылка

Ссылка

Как работают сайты рулеток с кейсами

Ссылка

Истоки руководства или что сподвигло меня на написание

Предыстория создания этого руководства довольно прозаична. У меня есть младший брат, разница в возрасте с которым у нас составляет 14 лет. Уже с самого детства он начал путешествовать по десяткам фантастических миров различных игр. Ну а несколько лет назад я создала ему аккаунт в Steam с целым набором интересующих его игр. В связи с этим встал вопрос о безопасности данного аккаунта, так как жалко было бы терять приобретенные игры и прогресс в них. Кроме того, не так давно племянник моего знакомого столкнулся с кибер-преступниками, что привело к потере и аккаунта, и некоторых финансовых средств. Вот мне и пришла в голову идея собрать некоторые наработки по цифровой гигиене, визуально их оформить и составить справочное руководство.

Ссылки

🔗 Моя оригинальная публикация в Steam
— уже немного устаревшая

Буду рада, если проделанная мной работа сможет предостеречь в будущем юных игроков от неприятных или даже серьезных проблем. Благодарю, что читали и, надеюсь, оценили!

С теплом и любовью,
Таорелия~


 

Источник

Читайте также